Mail auf der Firewall scannen? Dann schickt dir Jemand eine Dekomprimierungsbombe und die Kiste steht?  :'( -teddy

Hallo, konnte das Updateproblem ("Unable to check for updates") umgehen: Ich habe eine SG4680U mit den Bezeichnungen: WAN=IGB1, LAN=IGB0, OPT1-OPT4=IGB2-4); Die Eingänge mit den Bezeichnungen WAN und LAN sind je als DHCP-WAN definiert. Das Updateproblem ("Unable to check for updates") tritt nur auf wenn das WAN-Kabel in WAN (=IGB1) steckt; sitzt das WAN-Kabel in LAN-Buchse funktioniert die Anzeige. Die WAN-Einstellungen (Rules und DNS) sind absolut identisch!!! Liegt an der "Gateway "Default"-Einstellung !!!

Schönen Abend, was heißt denn "dann"? Wie ist es denn jetzt eingerichtet dass es funktionieren soll? Du meinst ja dass die Maschinen Netz haben, also wie ist es denn konfiguriert?

@JeGr: Wenn du den DNS Forwarder oder Resolver nutzt wäre es am Einfachsten du machst dort für den entsprechenden Namen einen Eintrag in den Host Overrides und trägst dort die IP aus dem .11er Netz ein. Dann brauchst du dich nicht mit NAT Reflection etc. herumschlagen, sondern nur noch, dass dein Zugriff von .1er ins .11er Netz erlaubt wird und gut. Grüße Oh man… das wars. Besten Dank! Funktioniert nun tadellos :)

Also wenns nur 2 WANs sind (wegen hybrid usw…), wäre doch ne APU2C4 empfehlenswert oder? Genau deshalb frage ich ja nach, ob es wirklich 3 WAN Interfaces sind, oder ob es eben physikalisch nur 2 Kabel sind. Dann gäbe es durchaus Alternativen. Von APU/2 über NCA1010 bis zum Eigenbau ist da viel möglich. Bei 4 und mehr NICs wirds meist teurer. Wobei er sich da evtl. auch mit VLANs aushelfen könnte. Hängt davon ab. Wenn man "dumme" Geräte als Frontrouter bekommt (Wegen Telekom Hybrid etc.) die ggf. nichts mit VLANs anfangen können und man dann noch komplexer vornedran einen VLAN Switch basteln muss, macht das alles eine Nummer undurchsichtiger. Machbar ist es, klarer Fall, aber zum Debugging immer ein wenig aufwändiger als einfach nur Kabel prüfen. DSL dürfte die beste Latenz aufweisen und hat in diesem Fall die geringste Bandbreite Also in meinem Umfeld (Wohngegend) hat Kabel eine niedrigere Latenz und besseres QoS als DSL ;) Das hängt da denke ich vom Einzugsgebiet ab :) Aber natürlich würde man da schon vorselektieren, was für welche Ader am Sinnvollsten zu übertragen ist :)

die "Sorgen" wegen dem Doppel-NAT sind weil hier eine PS4 und ein Gaming-PC ganz gerne mal online im Einsatz sind… Stehen bei mir durch Kids (und mich selbst manchmal) auch und arbeiten ohne Probleme. Der PS4 hilft ein halbwegs vernünftig konfiguriertes UPnP als Helfer, allerdings hats auch ohne problemlos geklappt. Schwieriger wirds eher wenn mal mehrere Kisten aus dem Netz online zusammen spielen wollen, aber da ist es immer von der Applikation abhängig, meistens funktioniert es trotzdem sauber. Grüße

Es scheint von Snort ausgelöst worden zu sein, sobald ich den einschalte fängt es nach ein paar Stunden wieder an. Auch hab ich festgestellt das eine Richtfunkstrecke die ein Gebäude mit dem Gateway hier verbindet gelegentlich aussteigt, allerdings ohne das die Verbindung zusammenklappt, es geht nur einfach nichts mehr durch. Die ist bisher 1.5 Jahr ohne einen einzigen Ausfall gelaufen. Ich hab die heute gegen die Backup Strecke getauscht, mal sehen ob die auch aussteigt. Ich beobachte das mal weiter, irgentwo ist aber nen bug drin. Gruß Alex

So, jetzt ist Ruhe. Habe zwei Faktoren erneut auf silent gesetzt. Hoffentlich fehlt mir jetzt nix Wichtiges im Log  ::)

Nein, du siehst schon richtig. User-basierte Regeln unterstützt pfSense nicht. Abhelfen musst du dir mit VPN > OpenVPN > Client Specific Overrides. Hier kannst du ein schmales Subnetz aus dem VPN-Tunnel für bestimmte Clients reservieren und dieses dann in den Firewall-Regeln als Quelle verwenden. Achte auch darauf, dass "Strict User-CN Matching" in den Servereinstellungen gesetzt ist.

Die Clients bekommen nur die Zielnetze über die VPN geroutet, die in "Local IPv4 Networks" eingetragen sind. Wenn auch der Zugriff auf sämtliche Internet-Adressen über VPN gehen soll, musst du "Redircect gateway" setzen. Zudem muss die Firewall-Regel den Zugriff auf alle IPs erlauben, also "allow any" und es ist eine Outbound NAT Regel für das Tunnel-Netz erforderlich. Beides wird aber vom Wizard automatisch so gesetzt.

Ok, danke. Das verwundert mich nur, weil die IP von Extern (also aus dem VPN) ja zu pingen ist.

Hallo zusammen, ich glaube zwar das mir momentan scheinbar keiner weiterhelfen kann, aber mir ist noch eine Sache aufgefallen und zwar würde ich das Problem auf Squidguard eingrenzen. Wenn ich in Squid eine Domain Blackliste wird diese gesperrt und ich bekomme eine Squid Seite die mir sagt das https://irgendwas gesperrt ist und da steht der richtige und komplette URL-Name, gleich Seite mit squidguard geblockt und es kommt wieder der https://http quatsch. Gruß

Ja PPPoE - im Moment zumindest noch, eine Umstellung auf BNG wird auch bei FTTH kommen, kann aber noch dauern Wichtig ist auf dem WAN Interface VLAN7 zu aktivieren.

ok danke - hab ich ja erstmal bissl Lesestoff jetzt isses bissl blöd gelaufen, ich hab hier parallel zwei Themen angefragt, und bin irgendwie bei beiden nun auf das selbe Folgethema gekommen. Darf ich so unverschämt sein, und auf meinen anderen Thread verweisen? das wär nämlich der hier: https://forum.pfsense.org/index.php?topic=121654.0

ich bleib am besten einfach offline…danke sollte mir doch jemand jemand erklären können wie unter dem ALTEN monowall diese 2 lcd treiberprozesse laden kann gäbs von mir mindestens nen cyberhug  ;D

Ich kennen nun Deine Bleibe nicht, meist steht der Router jedoch nicht da, wo ein AP am meisten Sinn machen würde. Daher freue Dich doch über die vorhandenen Lan-Kabel und nutze eines davon, um an einer sinnvollen Stelle einen AP zu betreiben. Das könnte dann auch ein vorhandener Repeater im Bridge-Modus sein. Zu Zeiten von a/b/g WLAN bin ich noch mit einem einzigen AP ausgekommen, an dem ich high-gain omni-Antenne angeschlossen hatte. Damit habe ich eine bedarfsgerechte Ausleuchtung im Haus und ein wenig im Garten erreicht. Solche Antennen funktionieren bei n-WLAN nicht mehr so gut (…) und die WLAN-Dichte hat in meiner Umgebung soweit zugenommen, dass es selbst mit b/g nicht mehr möglich wäre, streaming-Audio in allen Bereichen zu hören (>30 nachbar-APs im Wohnzimmer empfangbar). Leider sind meine Squeeze-Boxen auf dem 5GHz Ohr taub, so dass ich eine Lösung für 2.4GHz brauchte. Das ging nur mit mehreren gescheiten APs (s.o.) an exponierten Stellen - und da will ich meinen Router mit Sicherheit nicht hängen haben...

Hallo, vielen Dank für die Antworten - macht natürlich Sinn  ::) Sehe es mir im Laufe des Tages an und melde mich dann nochmal. dburt

Naja frühestens, nachdem 2.4 veröffentlicht wurde. Sonst hätte das Gerät ja keine Basis. Und die 2.4 gibt es erst, nachdem FreeBSD 11 fertig vorliegt. Deinen Platz in der Bestellliste sowie Postlaufzeiten musst Du noch hinzufügen, dann hast Du einen Anhaltspunkt.